蔡智凱 米峻男 王通 陳曦 連小珉

（清華大學 汽車安全與節(jié)能重點實驗室，北京 100084）

1 前言

普通的線傳轉向系統(tǒng)由于取消了轉向盤與轉向機之間的機械連接，其安全性存在較大隱患[1]。此外，法規(guī)對汽車電子系統(tǒng)的安全性要求越來越高，汽車電子電氣系統(tǒng)功能安全標準ISO26262[2]中要求汽車上達到ASILD的重要電子電氣系統(tǒng)的故障率低于10-8。線傳轉向機作為轉向執(zhí)行器，涉及到駕駛員和乘員的生命安全，需要達到這一等級，采用余度的方式是綜合成本和技術手段的一種較優(yōu)方案。

線傳轉向機是線傳轉向系統(tǒng)的轉向執(zhí)行機構，其接收線傳方向機的轉向盤轉角信號，并通過電機驅動執(zhí)行轉向操作。完全雙余度線傳轉向機的電子部件均采用了雙余度方案，在正常工作模式下采用熱備份的雙通道電機驅動模式，并能在單通道故障的情況下通過余度管理有效檢測到并隔離故障通道，從而保證轉向的正常進行，提高線傳轉向系統(tǒng)的安全可靠性。

余度這一概念源自飛機，飛機上關于雙余度舵機的研究及余度管理方法[3-4]已較為成熟。余度的方式能在盡可能節(jié)省成本的同時大幅提高線控系統(tǒng)的安全性，具有較好的發(fā)展前景。目前，采用雙電機方案控制的線傳轉向機[5-6]已經有了初步的研究，基于該方案的線傳轉向機的冗余容錯方法[7-10]也得到了較多的應用。但是，目前的研究多集中在以局部冗余的方式構建線傳轉向機，其對故障的容錯能力有限。

本文構建了一種完全雙余度線傳轉向機的機電結構，在此基礎上提出了相應的余度管理方法，并進行了仿真模型的搭建與仿真，驗證了提出的完全雙余度線傳轉向機架構及仿真模型的合理性，以及相應的余度管理方法的可靠性。

2 完全雙余度線傳轉向機的結構與工作原理

完全雙余度線傳轉向機主要由其機電結構與余度管理器組成。其機電結構為轉向的主要執(zhí)行機構，安裝在汽車轉向器的齒輪齒條上，以驅動轉向的進行；余度管理器控制轉向機的機電結構進行轉向，同時對轉向機進行余度管理，以保證線傳轉向的正常進行。

2.1 機電結構

完全雙余度線傳轉向機的機電結構由雙電機并聯(lián)耦合機構、蝸輪蝸桿減速機構和轉角傳感器總成組成，如圖1所示。

圖1 完全雙余度線傳轉向機的機電結構

如圖1所示的雙電機并聯(lián)耦合機構由2個相同的電機經過一對齒輪并聯(lián)耦合，構成雙通道轉角驅動，其輸出軸經過蝸輪蝸桿減速機構減速后通過連接轉向器的齒輪齒條驅動汽車轉向。轉角傳感器總成由2個相同的轉角傳感器組成，實時感知齒輪齒條轉向器的小齒輪轉角以進行轉向角度的反饋控制。

余度管理器一方面從線傳網絡接收轉向盤轉角信息，另一方面接收轉角傳感器總成的轉角信息，以控制驅動雙電機進行轉向。此外，當一路通道發(fā)生故障時，余度管理器能檢測到故障并對故障通道進行隔離，同時發(fā)出報警。

該結構中主要電子電氣部件如轉向電機、轉角傳感器及控制器均作了余度處理，保證它們中的任意一個發(fā)生故障后系統(tǒng)仍能正常進行轉向，因此稱為完全雙余度線傳轉向機。

2.2 余度管理器架構

完全雙余度線傳轉向機的余度管理器由3個控制器構成，其中2個控制器構成雙通道電機驅動控制器，分別控制一路電機同步進行轉向，第3個控制器對另2個控制器進行監(jiān)控，以進行故障的隔離。完全雙余度線傳轉向機的余度管理器架構如圖2所示。

圖2 余度線傳轉向機的余度管理器架構

圖2中的CGU1、CGU2和CGU3為構成余度管理器的3個控制器，其中CGU1和CGU2分別通過電機驅動下位控制器CGM1和CGM2發(fā)送一定頻率的PWM波控制各自通道的H橋驅動電路H1和H2進行電機MS1和MS2的控制。電機力經過齒輪對G1和G2耦合，再經蝸輪蝸桿減速器GW減速后驅動齒輪齒條GR。兩路電機通道的電流傳感器SMC1和SMC2測得各自通道電機的電流iSM1和iSM2，并發(fā)送給各自的控制器；與蝸輪軸同軸的轉角傳感器SPA1和SPA2同時采集小齒輪轉角θSP1和θSP2，也發(fā)送給相應的控制器。3個控制器通過線傳網絡進行信息的交互。圖中θW為轉向盤轉角，cs1、cs2和cs3分別為3個控制器的控制器狀態(tài)信息，以互相進行控制器狀態(tài)監(jiān)控。

2.3 工作原理

如圖2所示的完全雙余度線傳轉向機余度管理器在正常工作狀態(tài)下由CGU1和CGU2控制兩電機進行轉向，兩路電機通道分別稱為通道1與通道2。轉向角度的閉環(huán)控制采用PID控制方法。工作過程中，CGU1和CGU2與以CGU3為控制器的通道3始終進行信息的交互與監(jiān)控。當通道1或者通道2的轉角傳感器發(fā)生故障時，兩路通道均診斷出故障傳感器并采用正確傳感器的值進行工作，系統(tǒng)不需要降階；當通道1或者通道2發(fā)生包括控制器故障、電機故障等需要降階的故障時，相應的另一通道診斷出該故障，并通過發(fā)送信號s21或s12經由電機驅動電路上的電子開關B1或B2切斷故障通道的電機，保證轉向在單電機下正常進行。同時，通道3的控制器檢測到該故障，發(fā)送信號s31或s32經由邏輯電路B31或B32屏蔽故障通道的信號s21或s12，以防止錯誤通道對正常通道的誤切斷。在這樣的機制下，保證余度轉向的正常進行以及單故障下系統(tǒng)不失效。

3 完全雙余度線傳轉向機的余度管理

完全雙余度線傳轉向機由余度管理器控制其機電結構的兩路電機同步進行轉向。在此基礎上，提出了完全雙余度線傳轉向機的余度管理方法，保證系統(tǒng)的安全可靠性。

3.1 仲裁與故障診斷方法

完全雙余度線傳轉向機的仲裁與故障診斷方法是對系統(tǒng)在運行過程中的各監(jiān)控量進行運算及判斷，以識別系統(tǒng)發(fā)生的故障。仲裁與故障診斷采用三狀態(tài)量多閾值診斷方法，其滿足：

式中，F(xiàn)ji(n)為通道j的控制器對通道i故障的診斷狀態(tài)，其為布爾型狀態(tài)量，F(xiàn)ji(n)=1表示通道i發(fā)生故障，F(xiàn)ji(n)=0表示通道i未發(fā)生故障；FAji(n)、FCji(n)和Si(n)分別表示通道i的轉角故障、電流故障和控制器自身故障，也為布爾型狀態(tài)量，分別表征這3個狀態(tài)量的故障情況，其中FAji(n)、FCji(n)分別表示通道j的控制器對通道i故障的診斷狀態(tài)。

通道i的轉角值、電流值以及控制器狀態(tài)量為故障診斷的主要判斷依據，對這3個狀態(tài)量進行多項閾值判斷的診斷方法，稱為完全雙余度線傳轉向機故障診斷的三狀態(tài)量多閾值診斷方法。

對于式（1）的其他取值(i,j)∈{(1，1)，(2，2)，(3，3)}，其物理含義為控制器對自身通道的自診斷，由于在本研究的仲裁和故障診斷方法中不進行控制器的自診斷，因此不作討論。

3.1.1 轉角故障診斷方法

FAji(n)表示轉角故障的狀態(tài)（包括轉角傳感器故障、轉角傳感器采集與接收故障、控制器內部轉角信號處理故障），F(xiàn)Aji(n)=1表示通道i的轉角發(fā)生故障，F(xiàn)Aji(n)=0表示通道i未發(fā)生故障。

對轉角故障狀態(tài)量FAji(n)，有

式中，SAi(n)為轉角信息檢測狀態(tài)量；SATi(n)為轉角跟隨檢測狀態(tài)量。

當SAi(n)=1或SATi(n)=1時，F(xiàn)Aji(n)=1，即通道i發(fā)生轉角故障。

式（2）中轉角信息檢測狀態(tài)量SAi(n)滿足

SA0i(n)為轉角信息檢測絕對值狀態(tài)量，其滿足

即轉角傳感器的轉角θSPi(n)的絕對值需要在閾值δAS以內，否則認為通道i發(fā)生轉角絕對值故障。

SA1i(n)為轉角信息一階差分狀態(tài)量，其滿足

式中，|ΔθSPi|=|θSPi(n)-θSPi(n-1)|，i=1，2。

即轉角傳感器的轉角一階差分的絕對值需要在閾值ΔδAS以內，否則認為通道i發(fā)生轉角速度故障。

SA2i(n)為轉角信息二階差分狀態(tài)量，其滿足

式中，|Δ2θSPi|=|θSPi(n)-2θSPi(n-1)+θSPi(n-2)|，i=1，2。

即轉角傳感器的轉角二階差分的絕對值需要在閾值Δ2δAS以內，否則認為通道i發(fā)生轉角加速度故障。

SATi(n)滿足

式中，|ΔθATi|=|θSPi(n)-θWi(n)|，i=1，2；ΔθATi為轉角跟蹤差；θSPi(n)為當前轉角；θWi(n)為轉向盤轉角。

即任意時刻的轉角跟蹤差ΔθATi(n)被限制在轉角跟蹤差閾值ΔδAT內，否則認為通道i發(fā)生了轉角跟隨故障。

當檢測到一路轉角發(fā)生故障時，兩路通道均采用未故障通道的轉角傳感器值進行工作，此時即完成轉角的仲裁。

SA0i(n)、SA1i(n)、SA2i(n)及 SATi(n)的i取值均為 1 和 2，表征其診斷對象為通道1和通道2。

3.1.2 電流的故障診斷方法

電流故障FCji(n)表示電流故障（包括電機故障、電流傳感器故障、電流傳感器的采集與接收故障、控制器內部電流信號處理故障），F(xiàn)Cji(n)=1代表控制器i的電流發(fā)生故障，F(xiàn)Cji(n)=0表示控制器i未發(fā)生故障。其滿足

式中，SCi(n)為電流信息檢測狀態(tài)量；SCTi(n)為電流閉環(huán)檢測狀態(tài)量。

當SCi(n)=1或SCTi(n)=1時，F(xiàn)Cji(n)=1，即通道i發(fā)生電流故障。

電流信息檢測狀態(tài)量SCi(n)滿足

SC0i(n)為電流信息檢測絕對值狀態(tài)量，其滿足

即電流傳感器的轉角ISMi(n)的絕對值需要在閾值δCS以內，否則認為通道i發(fā)生電流絕對值故障。

SC1i(n)為電流信息一階差分狀態(tài)量，其滿足

式中，|ΔISMi|=|ISMi(n)-ISMi(n-1)|，i=1，2。

即電流傳感器的電流一階差分的絕對值需要在閾值ΔδCS以內，否則認為通道i發(fā)生電流速度故障。

SCTi(n)滿足

式中，|ΔICTi|=|ISMi(n)-IGTi(n)|，i=1，2；ΔICTi為電流閉環(huán)差值；ISMi(n)為當前電流；IGTi(n)為目標電流。

即任意時刻的電流閉環(huán)差值ΔICTi被限制在電流閉環(huán)差閾值ΔδCT內，否則認為通道i發(fā)生了電流閉環(huán)故障。

SC0i(n)、SC1i(n)和SCTi(n)中的i取值均為1和2，表征其診斷對象為通道1和通道2。

除了轉角故障與電流故障，式（1）中的Si(n)表示通道i的控制器發(fā)生自身故障（通道i的控制器向另外2個控制器發(fā)送特定的自身控制器狀態(tài)信息，若接收不到則認為通道i的控制器發(fā)生自身故障），Si(n)=1代表通道i的控制器發(fā)生自身故障，Si(n)=0表示通道i的控制器未發(fā)生自身故障。

綜合上述的轉角故障診斷方法與電流故障診斷方法，定義單通道的故障特征矩陣Bi(n)為

Bi(n)的取值與對應的基本故障事件如表1所示。

表1 Bi(n)取值對應的基本故障事件

定義故障特征量Ei1(n)、Ei2(n)分別為故障特征矩陣Bi(n)中第1行、第2行各元素之和，即

則若Ei1(n)＞0，則認為通道i發(fā)生轉角故障即非降階故障，若Ei2(n)＞0，則認為通道i發(fā)生非轉角故障即降階故障。

3.2 故障隔離、切換與報警方法

在完全雙余度線傳轉向機故障診斷的基礎上，對系統(tǒng)進行故障的隔離與報警，并對致命性的故障進行余度切換，以完成余度的降階，保證系統(tǒng)的正常工作。

對系統(tǒng)報警指示量Aji(n)，有

Aji(n)表示通道j的控制器對通道i的故障進行報警，其為布爾型狀態(tài)量。當Aji(n)=1時進行報警，Aji(n)=0時則不報警。式（16）表明，通道j的控制器在對通道i進行故障診斷過程中，連續(xù)3次診斷出其出現(xiàn)故障，則認為通道i發(fā)生確實的故障，此時進行故障報警。由于通道不會對自身進行報警，因此(i,j)?{（1，1），（2，2），（3，3）}。

由于發(fā)生轉角故障時雙通道均可用正確的轉角值繼續(xù)工作，因此轉角故障僅進行報警，而不進行通道的隔離，稱為非降階報警，相應地，對電流故障及控制器自身故障的報警稱為降階報警，這一報警方法稱為雙模式報警方法。對通道i（i=1，2），定義其降階故障檢測狀態(tài)量為

則故障隔離指示量Cji(n)滿足

Cji(n)為表征故障隔離的布爾型指示量，其表示通道j的控制器對通道i的降階性故障進行隔離。當Cji(n)=1時進行故障隔離，Cji(n)=0時則不進行故障隔離。與報警類似，故障的隔離也是連續(xù)3次檢測到故障后進行。

由于故障的隔離基于3個控制器的共同作用，需要綜合另外兩路通道控制器的判斷，因此實際的故障隔離特征量εi滿足

當εi=0時，表示通道i被隔離；當εi=1時，表示通道i工作正常。當通道i被隔離后，系統(tǒng)即進行余度切換，在正常路通道電機作用下完成轉向工作，（i,j）的取值表征只有通道1和通道2在故障時需要被隔離。

4 仿真驗證

針對上述完全雙余度線傳轉向機結構及余度管理方法，基于Matlab的Simulink平臺搭建完全雙余度線傳轉向機的仿真模型，與CarSim軟件進行聯(lián)合仿真，以驗證完全雙余度線傳轉向機的余度管理方法與轉向能力。

4.1 仿真模型

完全雙余度線傳轉向機的仿真模型由轉角傳感器模塊Sa1和Sa2、兩路電機通道模塊M1和M2、轉向機機械耦合模塊G以及Car Sim車輛模型構成，如圖3所示。

圖3 余度線傳轉向機的仿真模型

轉角傳感器模塊Sa1和Sa2仿真轉角傳感器，傳遞轉角信息，并能進行轉角故障的注入；兩路電機通道模塊M1和M2模擬電機通道，其內部進行電機的轉向控制，并進行故障的診斷；轉向機機械耦合模塊G模擬轉向機械部分，并進行故障的隔離；CarSim車輛模型通過前端模型輸入轉向角度，并向前端模型輸出車輛回正力矩。系統(tǒng)總的輸入為用正弦波模擬的轉向盤轉角輸入。對于余度管理器通道3的余度管理功能，將其功能合并在電機通道模塊的仿真模型中，以驗證其功能。

4.2 余度管理仿真方法

如圖3所示的完全雙余度線傳轉向機仿真模型的余度管理包括在電機通道模塊M1和M2中根據仿真信息實現(xiàn)前文所述故障診斷方法實現(xiàn)的故障診斷以及在轉向機機械耦合模塊G中實現(xiàn)故障的隔離。此外，在各模塊中通過注入故障以模擬故障的發(fā)生。注入故障的類型如圖4所示。

故障注入的類型分為信號斷路故障與信號紊亂故障。如圖4a所示的信號斷路故障表征原信號在t0時刻發(fā)生信號斷路，其實現(xiàn)方法是將原信號δ與信號斷路故障曲線w1相乘；如圖4b所示的信號紊亂故障表征原信號在t1到t2時刻發(fā)生幅度為h、時長為Δt的信號紊亂故障，其實現(xiàn)方法是將原信號δ與信號紊亂故障曲線w2相加。

圖4 完全雙余度線傳轉向機仿真的故障注入

4.3 仿真結果

對上述建立的完全雙余度線傳轉向機仿真模型在運行過程中進行故障的注入，以驗證仿真控制和余度管理的效果。故障注入的類型選取信號紊亂故障，在3.6s時刻對通道1的電機電流傳感器注入幅度為10A的異常波動，轉角跟隨仿真曲線如圖5所示。

圖5 電流故障仿真轉角跟隨曲線

從圖5中可以看出，轉角輸入曲線（轉向盤轉角）與轉角跟隨曲線（小齒輪轉角）十分接近，即使在發(fā)生故障后轉角也未發(fā)生明顯變化，說明系統(tǒng)的工作情況較好。將二者作差，得到轉向盤與小齒輪的轉角差曲線，如圖6所示。

圖6 電流故障仿真轉角差

圖6中，轉向盤與小齒輪的轉角差在仿真過程中始終保持在3°以內，折算到實際的車輪轉角則屬于非常小的值，說明跟隨效果很好。在故障注入時刻，轉角差增大幅度約為0.2°，說明余度切換對轉向性能的影響很小。仿真過程中兩通道電機的輸出轉矩如圖7所示。

圖7中，在故障時刻前，兩電機同步輸出轉矩以驅動轉向。在故障時刻，通道1電機發(fā)生故障，通道2的故障檢測模塊識別后通道1電機被迅速隔離，其輸出轉矩變?yōu)?，此時通道2電機轉矩迅速增加至原來的約2倍以繼續(xù)驅動轉向，系統(tǒng)在通道2電機的作用下維持正常轉向。

圖7 電流故障仿真電機輸出轉矩

此外，對轉角故障進行了仿真。對通道1的轉角信號注入了在第3s時刻的信號斷路故障，仿真得到的轉角跟隨曲線與圖5相似，兩電機的輸出轉矩如圖8所示。

圖8 轉角故障仿真電機輸出轉矩

由圖8可知，仿真過程中兩電機始終輸出相同轉矩，由于轉角故障為非降階故障，系統(tǒng)并沒有發(fā)生切換，兩電機始終保持工作。系統(tǒng)故障診斷的結果可以從圖9所示的故障報警曲線中看出。

圖9 轉角故障仿真故障報警曲線

由圖9可知，在第3s時刻通道1發(fā)生了轉角故障，此時通道2和通道3檢測到該故障并發(fā)出了報警信號，而通道2表現(xiàn)為正常。此時通道1的轉角信號不再使用，兩通道均根據通道2的轉角繼續(xù)進行轉向。

控制器自身故障的仿真結果與電流故障類似，發(fā)生控制器自身故障的通道被迅速隔離，系統(tǒng)切換到單通道轉向模式下繼續(xù)進行轉角的跟隨。

5 結束語

針對完全雙余度線傳轉向機及其余度管理問題，本文通過研究得出以下結論：

a.完全雙余度線傳轉向機的結構能夠有效執(zhí)行轉向功能并保證系統(tǒng)在單一故障下不失效，可以作為線傳轉向汽車的具有高安全可靠性的轉向執(zhí)行器。

b.三狀態(tài)量多閾值的故障診斷方法、基于三控制器的故障隔離方法以及雙模式故障報警方法的余度管理方法能夠有效地識別并隔離完全雙余度線傳轉向機運行過程中的故障，為線傳轉向汽車轉向安全性的保證提供有效的余度管理方法。

c.Simulink與CarSim平臺的完全雙余度線傳轉向機聯(lián)合仿真方法能有效模擬完全雙余度線傳轉向機的運行狀態(tài)和余度管理情況，為完全雙余度線傳轉向機的余度管理方法的驗證提供有效的平臺。

[1]于蕾艷.汽車線控轉向系統(tǒng)容錯和故障診斷技術綜述[J].重慶交通大學學報（自然科學版），2015，34（5）：165-169.

[2] Road vehicles-Functional safety: ISO 26262:2011[S].

[3]付永領，龐堯，劉和松，等.基于故障建模的雙余度舵機故障診斷技術[J].北京航空航天大學學報，2011，37（11）：1372-1377.

[4]張新華.完全雙余度電動舵機系統(tǒng)的研究與設計[J].微電機，2006，39（2）：32-34.

[5]田承偉.線控轉向汽車容錯控制方法研究[D].長春：吉林大學，2010.

[6]何磊.基于FlexRay總線的線控轉向系統(tǒng)雙電機控制方法研究[D].長春：吉林大學，2011.

[7] Heitzer H D. Development of a fault-tolerant steer-by-wiresteering system[J]. AutoTechnology，2003，3（4）：56-60.

[8] He L， Zong C， Chen S， et al. The Tri-Core Fault-TolerantControl for Electronic Control Unit of Steer-By-Wire System[J]. SAE Technical Paper，2011.

[9] Yao Y， Daugherty B. Control method of dual motor-basedsteer-by-wire system[J]. SAE Technical Paper，2007.

[10] Hayama R， Higashi M， Kawahara S， et al. Fault-tolerantautomobile steering based on diversity of steer- by- wire，braking and acceleration[J]. Reliability Engineering System Safety，2010，95（1）：10-17.